Hola,

Els xifrats en disc depenen de què vulguis protegir (el threat model).

Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
sense xifrar. Es necessària per poder carregar el kernel i que aquest et
demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
sense frase de pas perquè el boot està en un stick, un ha de guardar-los
separats quan l'ordinador estar apagat.

Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
parar. Únicament. Estaries protegint la modificació dels binaris. Però
compte amb l'exposició del kernel.

En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
l'ordinador engegat i per tant amb la partició xifrada montada.

De forma no excloent, però que té implicacions de performance, és
utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
tenir present que root, tot i que no pot montar el teu home, si que hi
pot accedir si l'usuari ha fet login.

Després hi ha una tercera via, útil per exemple per discs durs externs,
que serien eines com encfs, en les que hom monta una estructura de
directoris sota demanda. Té els seus pros i contres també.

/Sergi.

Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
aprendre...

On 19/06/17 09:31, Narcis Garcia wrote:
> La manera en què jo ho he vist fer és deixar connectada la memòria USB
> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
> encriptar.
> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
> la memòria USB per arrencar-ne, que és la que demana contrasenya per
> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
> connectada per a que sigui coherent amb les actualitzacions de nucli i
> gestor d'arrencada.
> 
> De tota manera, aquesta externalització de l'arrencada és una mesura més
> aviat orientada a evitar una vulnerabilitat molt i molt específica:
> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
> i així en un «següent robatori» recuperar aquesta dada.
> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
> memòria USB i col·locar el /boot al mateix disc dur.
> 
> 
> __________
> I'm using this express-made address because personal addresses aren't
> masked enough at this list's archives. Mailing lists service
> administrator should fix this.
> El 19/06/17 a les 01:37, Pedro ha escrit:
>> Josep,
>>
>> tens alguna guia que recomanis o sabries explicar breument com fer lo
>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
>>
>> podríem considerar que el punt de partida més habitual és una debian
>> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
>>
>> Gràcies!
>>
>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa <jllad...@gmail.com>:
>>>
>>>
>>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader <id...@bergueda.org>:
>>>>
>>>> Hola,
>>>>
>>>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
>>>> encriptar les particions. Tant al Portàtil com al Sobretaula.
>>>>
>>>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>>>
>>>
>>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o
>>> un llapis usb amb una clau) per iniciar sistema.
>>>
>>>
>>>>
>>>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
>>>> no podrà fer res?
>>>
>>>
>>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
>>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
>>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
>>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
>>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
>>> operatiu/aplicacions tenien...
>>>
>>>>
>>>>
>>>> Perdoneu la meva ignorància...
>>>>
>>>> Salut
>>>
>>>
>>>
>>>
>>> --
>>> --
>>> Salutacions...Josep
>>> --
>>
> 

Attachment: signature.asc
Description: OpenPGP digital signature

Respondre per correu electrònic a